网络安全:动态恢复与异或加密

最新推荐文章于 2024-02-19 16:23:51 发布
最新推荐文章于 2024-02-19 16:23:51 发布
阅读量215 收藏
点赞数
文章标签: 网络 c/c++
原文链接:http://www.cnblogs.com/Gemgin/archive/2013/06/13/3136218.html
版权

样例:htran.exe(端口转发工具),网上有开源的代码,自行编译

杀软:nod32

   nod32这个杀软的特点是喜欢杀字符串。

正向定位结果:

 

文件名:E:\test\htran.exe

------------------------------------------------

特征码物理地址/物理长度如下:

[特征] 00009320_00000002     00409320       2E:0D 0A005B2B  OR EAX,2B5B000A 

[特征] 0000934A_00000002     0040934B      2E:0D 0A00005B  OR EAX,5B00000A    

[特征] 00009418_00000002    00409418        2E:0D 0A005B2B  OR EAX,2B5B000A   

 

.data :数据段储存为全局变量或静态数据,在应用程序初始化的时候该段的全部变量归0,有全局静态数据静态数据常量保存。

.rdata 保存函数指针或是间接调用的虚拟函数指针或虚拟表对象/类指针等,不同的编译器可能对该段有所处理不同吧。

偏移地址: C32载入可见,是PE文件储存在硬盘上时的一个内部的绝对地址)

RVA地址:PE文件各数据导入内存镜像后相对于基地址的偏移量)

VA地址 PE文件各数据导入内存镜像后虚拟地址,OD载入可见)

基地址  PE文件导入内存镜像时的初始地址,EXE缺省值为00010000hDLL00400000h

其中  VA地址=RVA地址+基地址

 

Microsoft Visual C++ 6.0 ,变量字符串等数据 就是存放在.data区段里面,可以修改

现在,我们来填充它,验证我们找的地方是否正确。

注意:我们填充的时候,从下至上.

***************************************************************************

源码免杀:

Accept a Client on port %d from

Waiting for Client on port:%d  

Make a Connection to %s:%d   

这里就能轻松的过了nod32了。

源码免杀最笨最有效的方法--注释法,就是紧盯着main函数执行顺序,注释干扰项,逐步排查就行了。

***************************************************************************

.exe免杀:

OR   EAX,5B00000A

XOR  EAX,5B00000A

OR   将源操作数中的全部二进制1放进目的操作数中,目的操作数中二进制1只可能增加;

XOR  对目的操作数按位取反。根据不同的源操作数可以实现清0、取反、无损加密等。

or   :

0   0   =   0

0   1   =   1

1   0   =   1

1   1   =   1

xor:

0   0   =   0

0   1   =   1

1   0   =   1

1   1   =   0

因为这里是个字符串类型的,这里用这个等价指令是可以的

为了安全,我们可以采用动态恢复等方法

原起始入口点:  00402913 >/$  55            PUSH EBP

添加区段:  50

PE文件存放最小空间是0x200的整数

加载到内存的时候以0x1000为单位

***************************************************************************

动态恢复:

    全部填充00,然后动态恢复成2E,我们的特征码在.data区段,是可写的。

push eax

inc  eax

pop  eax

mov byte ptr [00409320],2E

mov byte ptr [0040934B],2E

mov byte ptr [00409418],2E

jmp 00402913

    新入口点:  0040E002    50              PUSH EAX

    我们可以看到杀软在模拟执行我们的程序,内存杀毒,很狡猾噢,不过现在它查杀的是我们的动态恢复代码,我的花指令过于简单,大家可以在网上找或者自己写一个很生僻的花指令就行了。

 

文件名:E:\test\htran_动态恢复.exe

------------------------------------------------

特征码物理地址/物理长度如下:

[特征] 0000D00A_00000002        0040E00A

[特征] 0000D018_00000002        0040E018

 

注意:此方法不适合输入表免杀.

***************************************************************************

异或加密:

 

   pushad                //把所有寄存器压入堆栈

   mov ebx,0040F2E4      // 特征码的内存地址0040F2E4传送到ebx 寄存器

   mov ecx,3             //循环次数就是加密的长度(可以多次循环达到整块加密,别忘了次数这是16进制,3就代表加密12个字符)

   mov eax,dword ptr [ebx]  //ebx所存放的内存地方传送给eax

   xor eax,11111111        //进行异或加密必须8个字符

   mov dword ptr [ebx],eax  //把加密后的内容传送给ebx

   add ebx,4               //ebx 的内存地址增加了4个字节

   loopd  short xxxxxxxx   //跳转到 mov eax ,dword ptr [ebx] 这个就是循环刚才上面有个循环次数,ecx=3就表示循环3

   popad                  //把所有寄存器取出堆栈

   jmp 原入口点          ///跳转到原入口点  

 

    用于资源加密啊,.rsrc (这个没资源,我们来给它加些资源),在远控的时候,经常杀上线信息,就是一些配置信息,我们随便给它加一个

 

   记下加密资源的起始地址  0000E2E4   0040F2E4    ,记得修改rsrc区段可写喔

 

   异或加密后的新入口点 0040e00c,执行加密后保存可执行文件,这样我们资源就免杀了.

 

   再次执行后就自动解密了 ,这就是利用异或的特点,执行两次,自动解密。

转载于:https://www.cnblogs.com/Gemgin/archive/2013/06/13/3136218.html

ann__1121
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android数据加密加密算法的实现方法
09-01
在Android即时通讯(IM)系统中,采用加密可以提供一定的数据保护,但必须意识到,为了确保通信安全,通常还需要结合其他安全措施,如SSL/TLS协议来保证数据在网络传输过程中的安全,以及可能的密钥交换和管理...
unity3d网络通讯的封包,解包与简单的加密
05-24
在Unity3D网络通信中,加密是一种简单但有效的保护数据安全的方法。加密的基本原理是对两个二进制位进行或操作,相同结果为0,不同结果为1。或具有自逆性,即同一个密钥对数据加密后,再用该密钥解密,...
或运算^
AlexMerer的博客
08-16 3810
或运算与一般的逻辑或不同,或算符的值为真仅当两个运算元中恰有一个的值为真,而另外一个的值为非真。转化为命题,就是:“两者的值不同。”或“有且仅有一个为真。”符号为 XOR 或 EOR 或 ⊕(编程语言中常用^)。 基本性质: 1、交换律        a^b = b^a 2、结合律       (a^b)^c = a^(b^c) 3、对于任何数x,都有     x^x=0,x^0=x ...
探讨一下或(xor)为什么能还原的问题
m0_51428325的博客
12-26 1311
数学表示: a ^ a ^ b = b; a ^ b ^ a = b; b ^ a ^ a= b; 原理: 可用穷举法证明: 或运算:1 ^ 1 = 0;1 ^ 0 = 1; 0 ^ 1 = 1; 0 ^ 0 = 0; 穷举: 1 ^ 1^ 1 = 1; 1 ^ 1^ 0 = 0; 1...
加密(XOR)原理及实现 (**)
ken2232的博客
07-30 3132
加密(XOR)原理及实现
或交换两数值
weixin_44124927的博客
08-23 994
将ab^与b再进行半加的时候ab ^各个二进制位上的值会被b的各个二进制位上的值再次改变(反正不进位,负负得正了呗)。或又被称作半加运算,运算规则为不进位的二进制加法。首先我们知道 a ^ b ^ b == a;那么我们先将a赋值为a和b或的值,(1)之后我们有b的值,和ab或的值。然后我们用新拿到的ab或的值与b或,得到原来a的值,再用ab或的值与a或得到原来b的值。同理,将ab^与a半加又可以得到b。(a与b或的结果:ab^
【免杀】加密Shellcode免杀绕过火绒、360
z2560088的博客
03-19 2184
msfvenom生成c格式的shellcode 对该shellcode进行加密 #include<string> #include <iostream> using namespace std; using std::string; unsigned char buf[] = "\xfc\xe8\x8f\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30" "\x8b\x52\x0c\x8b\x52\x14\x0f\xb7.
文件加密技术一例.zip_加密程序_文件加密_文件加密
09-14
文件加密技术是保护数据安全的重要手段,特别是在网络通信和存储中。本文将深入探讨一种基本的文件加密技术,即“文件加密”。...了解并掌握基础的加密技术,对于理解网络安全和数据保护的重要性是至关重要的。
网络安全前沿技术&加密算法&python实现
06-06
网络安全领域,加密算法是保障数据安全的重要工具。Python作为一种流行的编程语言,因其简洁明了的语法和丰富的库支持,成为实现加密算法的常用选择。本资料主要涵盖了多个加密算法的Python实现,包括ECB、CBC、...
java-android:AES加密,RAS加密,DES加密,MD5加密,Base64加密加密
09-20
虽然加密较易破解,但在特定场景下,如简单的数据隐藏,仍有应用。 以上这些加密和编码技术在Java Android开发中起着关键作用,为应用程序提供数据保护和安全通信。了解和正确使用这些算法,能够帮助开发者构建...
实现字符串或操作
11-19
实现字符串数据的或,字符串为8倍数长度,不足为补足0
ZoomIt v4中文版
09-17
『软件说明』 —————————————————— 软件名称:ZoomIt v4.0.0.0 软件类别:微软放大镜 运行环境:Win2003, WinXp, Win2000, Win9x 授权方式:免费 软件介绍: ZoomIt(主页|介绍)是一款非常实用的投影演示辅助工具。它源自Sysinternals公司,后来此公司被微软收购,因此,有些网友也称 ZoomIt为微软放大镜。ZoomIt只有一个exe文件(0.5MB)、完全免费、易于使用。通过快捷键可以很方便地调用ZoomIt三项功能: 屏幕放大、屏幕注释、定时提醒。 附:软件更新情况 ZoomIt v4(2009-08-05):   修复bug;改善 Vista 和 Windows 7 下实时放大(live zoom)的性能。 ZoomIt v3.01:   增加 LiveZoom 模式,适用于Windows Vista 及更高版本;可自定义打字、计时字体(仍不支持中文);放大后的屏幕可以Ctrl+C复制到剪贴板。 ZoomIt v2.2 更新内容:   1、屏幕绘图时如果光标过小,则显示为十字形,以便看清   2、输入文字时可以用鼠标移动插入文字的位置 ZoomIt v2.11版更新内容:   1、可以改变倒计时文字的颜色   2、改变了截屏方式,可以包含工具提示 『汉化说明』 ———————————————————————— 此程序是由Borland Delphi 2.0 +Microsoft Visual Studio C++6.0编写,本人对Delphi不熟悉,所以点击托盘出现的英文没有汉化, 汉化不是很完美,但绝对满足你的使用,请大家多多包涵。 Gemgin 现在是一名软件工程师,收入来源用于自身疾病治疗,十分需要您的支持,如果您想支持 Gemgin 的话,请捐助 Gemgin 吧! 捐助地址: 暂时为空。 『Gemgin 说明』 ———————————————————————— 此汉化由Gemgin制作。原程序版权归其制作人所有,本汉化版权归Gemgin所有。 Gemgin汉化软件纯粹是为方便国人,没有任何商业目的。使用此汉化给您造成的任何损失,请自行承担! 此汉化可任意下载、拷贝、传播,但Gemgin不承担因此而产生的所有可能的责任。 若传播、拷贝、转发请保正原汉化包的完整,请不要删改任何文件。 未经本人允许,请勿将此汉化用于商业用途和一切与“钱”有关的任何行为,因此而产生的所有不良后果与Gemgin无关,由使用者自行承担责任。 本人水平有限,难免会有错误,如有发现,希望能够通知我一声,多谢。 『关于 Gemgin』 ———————————————————— QQ:308463776 E-mail: Gemgin@live.cn BLOG: http://hexun.com/ctfysj By Gemgin 2009.09/17 广东◎深圳
被忽略的技巧:位运算
m0_49263811的博客
12-02 405
位运算基本操作知识小结 1.左移操作A<<B 将A的二进制表示的每一位向左移B位,左边超出的位截掉,右边不足的位补0 A = 1100 B = 2 A << B = 110000 2.右移操作A>>B,A>>>B 右移操作分为算数右移和逻辑右移 算术右移是带符号的右移,逻辑右移是不带符号的右移。 算术右移:将A的二进制表示的每一位向右移B位,右边超出的位截掉,左边不足的位补符号位的数。 逻辑右移:将A的二进制表示的每一位向右移B位,右边超出的位截掉,左
蓝桥杯--选数或(动态规划)
最新发布
m0_73844129的博客
02-19 562
对底层二进制串进行运算。
php 与或非,PHP 对称加密和非对称性加密
weixin_34798552的博客
03-09 132
对称加密就是用同样的加密手段去解密.PHP中加密使用到了opensll系列函数,需要开启openssl扩展.加密方法function encrypt1($id){$key = "1112121212121212121212";$data['iv'] = 'fdakieli;njajdj1';$data['value'] = openssl_encrypt($id, 'AES-256-CBC', $...
数据恢复或运算
m0_63910725的博客
12-30 1213
数据恢复或运算
加密
m0_57291352的博客
05-30 890
或是对两个运算元的一种逻辑分析类型,符号为XOR或EOR。与一般的逻辑或OR不同,当两两数值相同为否,而数值不同时为真。或密码(simple XOR cipher)是密码学中一种简单的加密算法,是指对信息进行或操作来达到加密和解密目的。按这种逻辑,文本串行的每个字符可以通过与给定的密钥进行按位或运算来加密。如果要解密,只需要将加密后的结果与密钥再次进行按位或运算即可。 ἇ̀Ј唒ဃ塔屋䩘卖剄䐃堂ن䝔嘅均ቄ䩝ᬔ asadsasdasdasdasdasdasdasdasdasdqwesqf 或运算(XO
或和加密方式的解密的复现
qq_53388188的博客
07-06 888
在许多的音乐播放器中,很多的音乐下载后需要VIP或付费才可以进行播放,例如某云,某某,音乐等。他们都采用了或和的加密方法对文件进行加密。此博客是进行网络安全学习中对CSDN大神“鬼手56“”的博客复现,这是一个简单的解密过程,但仍然推荐读到此篇博客的读者们下载正版歌曲,共同维护版权和绿色网络环境。 参考原文:https://blog.csdn.net/qq_38474570/article/details/87878235首先我们可以随意的在某云中下载一首自己bian喜欢的歌曲,并弹出提示我们需要会员才可
信息安全技术:子密钥乘法与或操作的关键步骤
标签“信息安全技术”、“安全教程”和“技术资料”表明,这部分内容可能来自一本关于信息安全的教材或教程,旨在教育读者理解和掌握信息安全的基础知识和实践技巧,包括密码学、网络安全、数字签名、计算机病毒防范...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值